Le réseau antisocial

Il y a plusieurs années, je m’étais imaginé, sur le modèle anonyme et éphémère de 4Chan, une application totalement dédiée au monde de l’entreprise. L’idée était simple : pouvoir s’authentifier via son mail pro et l’associer à son mail perso. Puis ensuite, pouvoir diffuser anonymement des messages dans une bulle limitée à son entreprise (basée sur le domaine @mail de l’entreprise). A ceci près que tout ceci n’est resté qu’une idée que j’ai toujours gardée à l’esprit. Je m’amusais à m’imaginer diffuser le concept via certains syndicats et me débattre juridiquement suite à quelques révélations bien placées …

Parallèlement, le web éphémère est aujourd’hui à la page, principalement adopté par les jeunes générations, se référant à Snaptchat et délaissant Facebook. Ne manquait finalement que l’anonymat.

A quoi tu penses … vraiment ?

Bien évidemment, l’anonymat a ses détracteurs, mais entre l’omerta totale et révéler certaines vérités (même les plus dégueulasses), il y a une réalité qui me semble de plus en plus latente et destructrice. Allions-nous un jour, pouvoir faire de certains principes humanistes la base de toute organisation humaine ?

Depuis le début du 21e siècle, trois événements, trois tendances, trois évolutions sont apparus. Et elles sont en passe de faire évoluer, drastiquement, notre monde.

Time_youcover01 time-magazine-whistleblower 1101111226_400

  • L’émergence de l’intelligence collective, portée par Wikipedia et autres réseaux sociaux tels Facebook ou Twitter
  • Les lanceurs d’alertes avec, en tête de file, Snowden et Assange (WikiLeaks). En marge de cela, il y a bien évidemment les révélations sur la NSA et le programme PRISM
  • Les protestataires, ceux du printemps arabe, d’Occupy Wall Street, etc. et la place qu’ont les technologies numériques dans leur organisation et leur diffusion

Ne sentez-vous pas un lien évident entre ces trois points ? Et bien, du côté de la Silicon Valley, deux anciens employés de Google, Chrys Bader-Wechseler et David Byttowi, ont eu l’idée de développer une petite application étonnante m’y faisant penser.

Secret Is Like Facebook For What You’re Really Thinking

Secret, c’est son nom, est une application tout ce qu’il y a de plus simple :

  • Disponible seulement sur mobile, elle ne vous invite pas à créer un compte
  • Vos amis ne le sont pas, mais vous pouvez parler anonymement avec les contacts de votre téléphone sans savoir qui est qui …
  • … Où découvrir via géolocalisation les secrets qui buzzent tout près de chez vous
  • Plus une idée est populaire (via un système de « like »), plus elle se diffuse rapidement au travers des réseaux de chacun
  • Chaque secret est hashé, non-lié à son créateur ou son numéro téléphone (pas de profils on vous dit !)

secretapp

Le premier « secret » diffusé en masse sur ce réseau « antisocial », qui fait aujourd’hui vibrer la Silicon Valley (et intéresse de nombreux acheteurs potentiels …), concerne un des investisseurs de la startup, à savoir Google.

skitch

Ne reste plus qu’à attendre une diffusion plus large de l’application et s’imaginer jouer au bal masqué auquel je m’imaginais participer. Dans des organisations où certains jouent un double jeu depuis maintenant bien trop d’années, l’effet me semble garanti.

Et si finalement, certaines qualités humaines n’étaient que la voie logique prise par les technologies de l’information. L’empathie, le don, l’entraide, et toutes ses choses formidables dont est capable l’humanité.

Je conclurais en citant moot, le créateur de 4chan, qui nous rappelle qu’en sacrifiant notre vie privée sur Internet nous perdons finalement quelque chose d’extrêmement précieux.

BYOD, entre phobie et pragmatisme

L’avènement du Bring Your Own Device pose la question, toute logique, de la sécurité des données. En cela c’est une bonne chose, mais vous remarquerez que ce qui cristallise l’attention n’est pas la donnée, mais l’appareil, l’outil numérique.

Chose assez aisée, j’observe dans la plupart des entreprises des montages sécuritaires assez impressionnants. Ils sont principalement de deux types :

  • Blocage logique total ou partiel de l’accès Internet
  • Blocage physique des ports USB et interdiction des appareils tiers (frustrant lorsque l’on est consultant …)

Mesures justifiables lorsque le domaine et/ou le métier du personnel le justifient, une chose est certaine le cas Snowden n’a pas empêché de voir des montagnes de données classées « secret défense » déferler sur la toile. Comme quoi, une carapace globale est difficilement tenable.

Néanmoins, la plupart du temps le BYOD est tout au mieux toléré, mais génère surtout une certaine crispation. On touche là à la passion qui caractèrise le phénomène, et on ressent une gêne qui de fil en aiguille ne permet que très rarement de se poser LA vraie question :

Quelles données dois-je absolument sécuriser ?

Le fond du problème est de mon point de vue, plus philosophique que technique. Et à cela j’y ajoute quelques remarques / anecdotes, histoire d’épicer un peu le débat 🙂

Interdire les appareils connectés ? vraiment ?!

Que feriez-vous si je m’amène avec une tablette ? pour en avoir fait l’expérience, n’hésitez pas à comprendre qu’interdire une tablette équivaut à interdire l’intégralité des smartphones de vos employés.

Vous vous sentez prêt à affronter une gronde générale ? le smartphone touche à l’affect. Une telle mesure est, sauf domaines qui le nécessitent, totalement intenable. Dilemme, dilemme ! bienvenue dans un monde totalement connecté.

Interdire le Web. Et l’email dans tout ça ?

Vous agitez la fuite d’informations comme une raison suffisante pour interdire / filtrer Internet et les appareils personnels ? J’ai même observé dans un grand laboratoire pharmaceutique une coupure totale avec le monde extérieur, ne permettant l’accès au Web que via des postes eux-mêmes sécurisés et dédiés (et pas accessibles en libre-service).

Mais vous êtes-vous posé réellement la question de ce que vos employés s’envoient via mail ? Des documents sensibles sortent tous les jours de votre entreprise sans que vous le sachiez. Vous avez des logs ? super ! les analysez-vous ne serait-ce qu’une fois l’an ?

Les VIP organisent volontairement les fuites : amen !

Brancher un disque dur externe ou une clé USB ne permettra que d’accélérer le processus de fuite d’informations. Leur blocage peut donc paraître logique, mais ne résout pas le problème de fond.

Anecdote intéressante, celle d’un dirigeant décédé d’une grande entreprise qui copiait toutes les données sensibles (et secrètes) de son entreprise sous des disques durs personnels cryptés. La chose était connue et toléré (c’est le chef hein !), imaginez-vous la tête de ses successeurs lorsqu’on leur annonce que non, on ne peut absolument rien récupérer ni sur ses ordinateurs, ni sur son téléphone.

Même sujet sur le SaaS et l’usage qu’en font certains responsables. J’ai observé un étrange manège dans une entreprise très soucieuse de ne pas utiliser le Cloud pour ses employés, pour des raisons que vous pouvez facilement vous imaginer. A côté de ça, tous les comités de direction s’organisaient et se géraient sur une solution Cloud grand public …. deux poids, deux mesures !

Réfléchissez donc, messieurs les dirigeants que si vous mettez en place des mesures sécuritaires techniques et légales, d’être les premiers à les respecter. Comme je le disais dans un billet précédent, le VIP est une menace qui participe activement à l’écroulement du SI.

Et le papier dans tout ça ?

Vous souhaitez interdire les appareils personnels dans le cadre du travail ? Peur de voir un employé partir avec une somme d’informations qui vous échappe ? OK.

Mais quelle est votre politique à propos du papier ? Avez-vous l’idée de ce que vos employés photocopient ? Avez-vous une politique concernant les calepins et carnets de note papier que vos employés utilisent ? J’ai vu un prestataire extrêmement méticuleux (il notait absolument tout, informations sensibles et mots de passe système inclus), qui en froid avec son client est volontairement parti avec ses données sous le bras et ne voir personne s’en offusquer.